Oligo Security ha advertido sobre ataques en curso que aprovechan una falla de seguridad de dos años en el marco de inteligencia artificial (IA) de código abierto Ray para convertir clústeres infectados con GPU NVIDIA en una botnet de minería de criptomonedas autorreplicante.
La actividad, cuyo nombre en clave ShadowRay 2.0es una evolución de una ola anterior que se observó entre septiembre de 2023 y marzo de 2024. El ataque, en esencia, explota un error crítico de autenticación faltante (CVE-2023-48022, puntuación CVSS: 9,8) para tomar el control de instancias susceptibles y secuestrar su potencia informática para la minería ilícita de criptomonedas utilizando XMRig.
La vulnerabilidad no ha sido corregida debido a una «decisión de diseño de larga data» que es consistente con las mejores prácticas de desarrollo de Ray, que requiere que se ejecute en una red aislada y actúe según un código confiable.
La campaña implica el envío de trabajos maliciosos, con comandos que van desde un simple reconocimiento hasta complejas cargas útiles de Bash y Python de varias etapas, hasta una API de envío de trabajos Ray no autenticada («/api/jobs/») en paneles de control expuestos. Los clústeres de Ray comprometidos se utilizan luego en ataques de pulverización y oración para distribuir las cargas útiles a otros paneles de Ray, creando un gusano que esencialmente puede propagarse de una víctima a otra.
Se ha descubierto que los ataques aprovechan GitLab y GitHub para distribuir el malware, utilizando nombres como «ironern440-group» y «thisisforwork440-ops» para crear repositorios y esconder las cargas maliciosas. Ya no se puede acceder a ambas cuentas. Sin embargo, los ciberdelincuentes respondieron a los esfuerzos de eliminación creando una nueva cuenta de GitHub, lo que ilustra su tenacidad y capacidad para reanudar rápidamente las operaciones.
Las cargas útiles, a su vez, aprovechan las capacidades de orquestación de la plataforma para pivotar lateralmente hacia nodos que no están conectados a Internet, propagar el malware, crear shells inversos para la infraestructura controlada por el atacante para control remoto y establecer persistencia ejecutando un trabajo cron cada 15 minutos que extrae la última versión del malware de GitLab para volver a infectar los hosts.
Los actores de amenazas «han convertido las funciones de orquestación legítimas de Ray en herramientas para una operación de criptojacking global y autopropagante, que se propaga de forma autónoma a través de grupos de Ray expuestos», dijeron los investigadores Avi Lumelsky y Gal Elbaz.
Es probable que la campaña haya utilizado modelos de lenguaje grandes (LLM) para crear las cargas útiles de GitLab. Esta evaluación se basa en la «estructura, los comentarios y los patrones de manejo de errores» del malware.
La cadena de infección implica una verificación explícita para determinar si la víctima se encuentra en China y, de ser así, sirve una versión del malware específica de la región. También está diseñado para eliminar la competencia escaneando procesos en ejecución en busca de otros mineros de criptomonedas y finalizándolos, una táctica ampliamente adoptada por los grupos de criptojacking para maximizar las ganancias mineras del host.
Otro aspecto notable de los ataques es el uso de varias tácticas para pasar desapercibido, incluido disfrazar procesos maliciosos como servicios legítimos de trabajo del kernel de Linux y limitar el uso de la CPU a alrededor del 60%. Se cree que la campaña puede haber estado activa desde septiembre de 2024.
Si bien Ray está destinado a ser implementado dentro de un «entorno de red controlado», los hallazgos muestran que los usuarios están exponiendo los servidores de Ray a Internet, abriendo una superficie de ataque lucrativa para los malos actores e identificando qué direcciones IP del panel de Ray son explotables utilizando la herramienta de detección de vulnerabilidades de código abierto interact.sh. Más de 230.500 servidores Ray son de acceso público.
Anyscale, que desarrolló originalmente Ray, lanzó una herramienta «Ray Open Ports Checker» para validar la configuración adecuada de los clústeres para evitar la exposición accidental. Otras estrategias de mitigación incluyen la configuración de reglas de firewall para limitar el acceso no autorizado y agregar autorización en la parte superior del puerto Ray Dashboard (8265 de forma predeterminada).
«Los atacantes implementaron calcetines, una herramienta de agotamiento del estado de TCP, apuntando a sitios web de producción. Esto sugiere que los clústeres de Ray comprometidos están siendo utilizados como arma para ataques de denegación de servicio, posiblemente contra grupos mineros competidores u otra infraestructura», dijo Oligo.
«Esto transforma la operación de puro cryptojacking a una botnet multipropósito. La capacidad de lanzar ataques DDoS agrega otro vector de monetización: los atacantes pueden alquilar capacidad DDoS o usarla para eliminar la competencia. El puerto objetivo 3333 es comúnmente utilizado por los grupos de minería, lo que sugiere ataques contra infraestructura minera rival».